Bug Heartbleed : les clés de chiffrement privées bel et bien compromises
Selon le spécialiste de la sécurité CloudFlare, des chercheurs en sécurité sont parvenus à extraire des clés privées de chiffrement SSL en exploitant uniquement la faille Heartbleed.
D'après un test effectué par CloudFlare, les clés privées de chiffrement sont bien menacées par la faille Heartbleed, rapportait hier Ars technica. Alors qu'on pensait jusqu'à récemment qu'elles avaient été épargnées par la faille présente dans les bibliothèques d'OpenSSL, ce n'est visiblement pas le cas.
Le résultat est détaillé par le spécialiste de la sécurité suite à un appel à un "défi Heartbleed". Dans une première conclusion publié sur son blog, il affirmait que dans l'état de ses connaissances, il lui semblait impossible d'aller jusqu'à extraire une clé privée SSL.
Révoquer et remplacer les certificats
Las, deux ingénieurs sont parvenus à relever le défi en quelques heures, et à extraire les clés SSL privées mises en jeu. Il ne leur aura fallu que neuf heures, en n'utilisant que la faille Heartbleed. Quatre chercheurs en sécurité y sont parvenus à l'occasion du défi, même si les deux autres ont mis un peu plus de temps.
La recommandation de CloudFlare est donc de bon sens : il conseille de révoquer les certificats SSL des clés privées et de les remplacer aussi vite que possible. Le spécialiste de la sécurité avait déjà recommandé de faire cette manipulation, mais ne l'estimait pas urgente. Désormais, elle l'est, et lui-même s'est attelé à la tâche.
Le vol à très large échelle de ces données serait un scénario catastrophique. Malheureusement, note CloudFlare, "la procédure de révocation du certificat est loin d'être parfaite et n'a jamais été pensée pour de la révocation à large échelle." Cela dit, il faudra bien en passer par là par mesure de précaution.
Source ZDnet.fr le 14/04/2014
A lire également :
Retour à la liste